« Hilfe, ich habe einen Virus erzeugt | Blog | Ransomware-Angriff mit Petya und Eternal Blue [Updates] »

DDoS Trittbrettfahrer

Freitag 16 Juni 2017 von Rainer W. Gerling

Seit dem 13.6.2017 werden Unternehmen und Einrichtungen weltweit mit der Drohung bereits gestohlene Daten zu veröffentlichen, mit Crypto-Ransomware Daten zu evrschlüsseln und einen DDoS Angriff auszuführen erpresst. Nach Einschätzung vieler Experten handelt es sich um eine leere Drohung. Die verwendeten Begriffe in der englischsprachigen E-Mail sind komisch ("DataBase tax forms") bzw. bei den angeschriebenen Unterenhemen und Einrichtungen nicht immer vorhanden (Universitäten oder Behörden haben keine Kredikartendaten von Kunden).

Die ersten Mails kamen von einer Gruppierung "HACKER TEAM - Meridian Collective" und drohten mit Hacks und DDoS-Angriffen am 16.6.2017 um 20:00 Uhr GMT.

Dann änderte sich die Gruppierung (eher nur der Name) zu "Xball collective" bzw. "Team Xball". Diese behaupten, die Daten seien bereits gestohlen und beginnen den Angriff schon am 16..6.2017 um 19:00 Uhr GMT.

Ein Angreifer, der mit DDoS droht, wird nicht viele Ziele gleichzeitig angreifen, sondern sich auf ein Ziel konzentrieren. Dies scheinen Massen-E-Mails zu sein, die einfach hoffen, dass schon jemand zahlt. Es kann davon ausgegangen werden, dass nichts passiert, auch wenn Sie nicht zahlen. Deshalb: zahlen Sie auf keinen Fall.

Die Information "Once you have paid we will automatically get informed that it was your payment." ist definitiv falsch, da in vielen Mails identische BitCoin-Adressen verwendet werden. Da der Erpresser aber nicht weiss, wer gezahlt hat, kann er den Angriff auch nicht gezielt einstellen oder unterlassen.

Es werden weltweit nur relativ wenige BitCoin-Adressen verwendet.

Und zum Glück ist die Zahlungsmoral doch relativ schlecht. :-)

Auch wenn DDoS und Crypto-Ransomware, wie der Vorfall "WannaCry" gezeigt hat, eine echte Bedrohung darstellen, sollte man sich vor Trittbrettfahrern in Acht nehmen.

[Update 19.6.] Erwartungsgemäß ist weder am Freitagabend noch am Wochende "etwas passiert".]

[Update 20.6.] Mittlerweile tritt die Gruppe auch unter dem Namen "Collective of Amadeus" auf, verwendet aber identische BitCoin-Adressen. Eine weitere BitCoin-Adressse wurde ergänzt

Quellen: DFN-Cert GmbH, Intruder Systems Ltd. und reddit Inc.

Kategorien: Awareness, IT-Sicherheit